asp-classic – 如何在经典的asp中制作一个预防sql注入的预处理
发布时间:2020-12-16 00:01:02 所属栏目:asp.Net 来源:网络整理
导读:我有这个有效: sqlString = "SELECT * FROM employees WHERE lastname = '" last_name "'"Set cmd = Server.CreateObject("ADODB.Command")Set cmd.ActiveConnection = dbConncmd.CommandText = sqlStringcmd.Prepared = TrueSet recs = cmd.Execute 我遇到
我有这个有效:
sqlString = "SELECT * FROM employees WHERE lastname = '" & last_name & "'" Set cmd = Server.CreateObject("ADODB.Command") Set cmd.ActiveConnection = dbConn cmd.CommandText = sqlString cmd.Prepared = True Set recs = cmd.Execute 我遇到的问题是sqlString的动态部分之上是在准备好的语句命令之前.我不认为我上面的东西在保护我. 在执行预准备语句之前,我不必修复此sqlString吗?读这篇文章让我觉得:How can prepared statements protect from SQL injection attacks?: “虽然在准备好的声明中,我们不会改变我们的计划,但它仍然完好无损 我们首先将程序发送到服务器 $db->prepare("SELECT * FROM users where id=?"); 其中数据被称为“占位符”的变量替换 $db->execute($data); 所以,它不能改变我们的计划并造成任何伤害. 但我不知道如何使我的查询正确.我也不知道他是如何准备$data的.希望得到指导.谢谢. 解决方法
为什么不使用ADO命令参数?
var oCmd = Server.CreateObject("ADODB.Command"); oCmd.CommandText = "SELECT * FROM employees WHERE lastname = ?"; oCmd.Parameters.Append(oCmd.CreateParameter(undefined,202,1,50,"last name"))//adVarWChar (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net – executionTimeout和Server.ScriptTimeout之间的
- asp.net-mvc – 具有服务层和存储库层的ASP.NET MVC,应该在
- 代理模式-aop
- ASP.NET开发服务器或本地主机IIS?
- asp.net-mvc – ASP.NET MVC – Html.Textbox()throws“对象
- c# – 因为算法不同,客户端和服务器无法通信
- asp.net-mvc-3 – 在if语句中的Asp.net MVC 3 Razor代码问题
- asp.net-mvc – 如何在HTML属性中添加剃刀值和字符串?
- asp.net – 如何在客户端验证失败后保持滚动位置?
- asp.net – 编辑GridView中一列的所有行
推荐文章
站长推荐
- asp.net-mvc – 将实体框架数据模型放在MVC应用程
- asp.net – 找不到元素’elmah’的架构信息
- asp.net-mvc – asp.net mvc嵌套视图模型表单sum
- asp.net-mvc – 在修改现有子实体框架的同时添加
- ASP.NET 5:捕获和记录所有未处理的异常的建议方
- SQLXML初体验:用XML代替T-SQL来操作数据库
- asp.net-mvc – ASP.NET MVC 3发布日期?
- 如何从本地asp.net 4.0 Web应用程序发送支持图像
- asp.net-mvc – 在图层之间复制模型
- asp.net-mvc – 从nopCommerce插件扩展Razor Par
热点阅读